お問い合わせ
ランサムウェアに感染したら、データ漏えいによる信用失墜や業務停止による経済的損失など、多方面に深刻な被害をもたらす可能性があります。本記事では、感染から72時間以内にやるべき具体的な対応手順を、時間軸に沿って詳しく解説します。
私たちデジタルデータフォレンジックでは、初動対応から対策・再発防止策まで一気通貫で対応・サポートいたします。もしランサムウェアに感染した疑いがある場合はすぐにご相談ください。
\サイバーセキュリティ専門家へ24時間365日無料相談/
目次
ランサムウェア感染の初動対応(最初の1時間)
感染を検知した直後、最も重要なのは「被害の拡大を防ぐ」ことです。適切な初動対応ができるか否かが、その後の対応難易度と復旧可能性を大きく左右します。
感染端末のネットワーク隔離
感染の兆候(ファイル暗号化・警告メッセージなど)を確認したら、即座にその端末をLANケーブルやWi-Fiから物理的に切断してください。ネットワーク上の他端末に感染が拡大するリスクを抑えるためです。
- ノートパソコンであれば、Wi-Fiを手動でオフにします。
- デスクトップPCの場合は、LANケーブルを抜きます。
- VPN接続中の場合は、切断ボタンをクリックして強制終了します。
電源は切らずに維持
意外にも多い誤対応が「パソコンのシャットダウン」。これは絶対に避けてください。シャットダウンするとランサムウェアの動作ログ、メモリ上のデータ、感染経路など重要な調査情報が失われます。電源を切らずに状態を維持することが望ましいです。
証拠データの保全
後の法的・技術的調査に不可欠なのが「証拠の確保」です。以下の情報をスクリーンショットやカメラ撮影で保存しておきましょう。
- ランサムウェアの脅迫メッセージ画面
- 暗号化されたファイルの拡張子やアイコンの変化
- 日付・時刻がわかるタスクバーや時計
社内通報(CSIRTまたは責任者)
速やかに、社内のCSIRTまたは情報セキュリティ責任者に通報しましょう。
- メールやチャットで端末名、使用者、感染の兆候を記載して報告
- 可能であれば証拠のスクリーンショットも添付
- 緊急連絡用の社内手順に従って連絡
セキュリティベンダーもしくはフォレンジック調査会社への連絡
契約しているセキュリティベンダーもしくはフォレンジック調査会社がある場合、速やかに初動支援を依頼してください。専門知識とツールを持つ彼らの早期介入は、被害拡大の防止に直結します。
私たちデジタルデータフォレンジックは、電話相談後最短15分でWeb会議可能です。ランサムウェア感染時はすぐにご相談ください。
\サイバーセキュリティ専門家へ24時間365日無料相談/
ランサムウェア感染の状況確認(1~4時間)
次に、被害の全容を把握するための「インシデント評価」を行います。もし社内にインシデント対応の専門家がいない場合は、不用意な操作によるログの改ざん上書きのリスクがあり、今後の調査に大きな影響をもたらす可能性があります。そのため、この時点でフォレンジック企業に調査を包括的に依頼することが望ましいです。
ランサムウェアの種類を特定
脅迫画面やファイルの拡張子などから、感染しているランサムウェアの名称を特定できる場合があります(例:Akira、LockBitなど)。
Web検索で「ランサムノートの文章」「ファイルの拡張子」などを調べると、同様の事例が見つかることがあります。
被害範囲の初期評価
ネットワーク上の他端末への感染有無、共用フォルダ、NAS、クラウドサービスのデータまで確認を行います。
- 他端末で同様の暗号化や警告画面が出ていないか確認
- 共有フォルダのファイルが開けるかチェック
- 社内NASやクラウドドライブのログイン・アクセスを制限
対応チームを編成
技術部門だけでなく、法務、広報、経営層も巻き込んだ対応が不可欠です。意思決定を迅速にするためのチーム編成が需重要です。
私たちデジタルデータフォレンジックは、インシデント対応を包括的にサポート可能です。ランサムウェア感染時はすぐにご相談ください。
\サイバーセキュリティ専門家へ24時間365日無料相談/
ランサムウェア感染の対応計画策定(4~24時間)
状況確認を踏まえ、復旧のための詳細な対応計画を立案します。
ログデータの保全
攻撃経路の分析や証拠保持のため、ログデータのコピーと保管を行います。OSのイベントログ、ファイアウォール、VPN、プロキシ、ウイルス対策ソフトのログなど多岐に渡ります。
感染経路の特定
攻撃者がどのようにネットワークに侵入したのかを特定することは、再発防止に直結します。多くの場合、メール添付ファイルやリモートデスクトップの脆弱性が狙われます。
>>ランサムウェアの感染経路は?攻撃者の侵入経路を特定する方法も解説
影響範囲の特定
被害に遭ったデータ、システム、サーバー、ユーザーアカウントなどを網羅的に洗い出します。一部に見えても、攻撃は深部まで進行しているケースが多いため、甘い見積もりは禁物です。
バックアップの確認
バックアップからの復旧が可能か確認します。ただし、バックアップ自体も暗号化や削除されている場合がありますので、以下の点に注意しましょう。
- バックアップファイルの最終作成日・サイズ・ハッシュ値を確認
- オフラインまたはクラウドに保存されたバックアップの有無を調査
- バックアップソフトウェアの設定ログも確認し、操作履歴を追跡
復旧優先順位の設定
すべてのシステムを同時に復旧するのは現実的ではありません。業務上優先度の高いものから段階的に復旧させる計画を立てましょう。
例えば、メールサーバー、顧客データベース、業務基幹システム(ERP)などが候補になります。
フォレンジック調査会社では、上記のような調査も包括的に対応可能です。ランサムウェア感染時はすぐにご相談ください。
\サイバーセキュリティ専門家へ24時間365日無料相談/
ランサムウェア感染の調査・対応(24~72時間)
この段階では、いよいよ復旧作業と対策に着手します。また、場合によっては外部への通知義務も発生します。
フォレンジック調査を実施
ランサムウェア攻撃は犯罪行為であるため、正確な感染経路や漏えい情報の範囲を明らかにするためには、フォレンジック調査が不可欠です。
社内や個人で完結させるのは、証拠保全の観点からリスクが高く、証拠能力を失う恐れもあるため、必ず専門のフォレンジック調査会社に相談してください。
復号ツールの有無を確認
「No More Ransom」プロジェクトをはじめとするサイトでは、一部のランサムウェアに対応した復号ツールを提供しています。
- No More Ransom にアクセス
- ランサムノートに表示された内容または拡張子を入力
- 該当する復号ツールがある場合はダウンロードして使用
ただし、復号に失敗するとデータが破損する可能性があるため、実行前にはファイルを複製し、バックアップを取ることを推奨します。また、最新のランサムウェア亜種に対しては復号ツールが存在しない場合も多いため、過度な期待は禁物です。
>>ランサムウェア感染時、復号ツールで解除・復旧するための対応方法を解説
また、ランサムウェアのデータ復号はデジタルデータフォレンジックでも対応可能です。データの復号化についても一度ご相談ください。
\サイバーセキュリティ専門家へ24時間365日無料相談/
復旧計画の詳細化と実行
復旧する順番、どの端末から作業を開始するか、通信を再開するタイミングなど、具体的な復旧フローを確定させて実行に移ります。
顧客・取引先への通知検討
顧客データ・取引情報が流出した可能性がある場合は、個人情報保護法に基づく個人情報保護委員会への報告義務や本人への通知義務が発生する可能性があります。また、社会的信用への影響も考慮が必要です。法務部と連携し、必要な通報・説明文書の作成を進めましょう。
>>ランサムウェアに感染した?企業に求められる被害報告を実務対応ベースで解説
事業継続計画(BCP)の開始
システムが完全復旧するまでの間、手動での業務代替手段や、仮想環境での暫定稼働など、BCPに従ってビジネスを止めない工夫が必要です。
ランサムウェア調査・対策を行う場合、専門業者に相談する
サイバー犯罪やマルウェアは絶えず進化している一方、国内の多くの企業ではセキュリティ対策が追い付いていないのが実情です。
ウイルス対策ソフトやUTM等の複数のセキュリティツールを組み合わせただけでは不十分で、実際にランサムウェア感染やマルウェアによる情報漏洩被害が発生した際の対応も見越した対策でなければ有効とは言えません。
適切な対策を行うには、サイバーインシデントの対応経験も豊富なセキュリティの専門家に相談することが極めて重要です。専門家のノウハウを活用することで、最新の動向と自社の予算・規模にあわせたセキュリティ対策を構築し、マルウェア・ランサムウェア感染、不正アクセスによる情報漏洩を未然に防いだり、緊急時の相談先とすることができます。
デジタルデータフォレンジックでは、お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたします。法人様の場合、ご相談から最短30分でWeb打合せも開催しておりますので、お気軽にご相談ください。
官公庁・上場企業・捜査機関等まで幅広いインシデント対応経験、セキュリティ対策の構築経験を持つ専門担当とエンジニアが対応させていただきます。
\サイバーセキュリティ専門家に24時間365日で無料相談可能/
フォレンジックサービスの流れや料金については下記からご確認ください。
【初めての方へ】フォレンジックサービスについて詳しくご紹介
【サービスの流れ】どこまで無料? 調査にかかる期間は? サービスの流れをご紹介
【料金について】調査にかかる費用やお支払方法について
【会社概要】当社へのアクセス情報や機器のお預かりについて
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
